杀毒软件反被病毒杀 连“救命”都不能喊

　二、“救命啊!我要被Kill了!”

　　无知不是罪，但不知却很可怕。敌人进入你的电脑你却浑然不知!总是在几天之后才发现，杀软早就悄无声息地被人干掉了，机子里充满了病毒。是呀，网上充满了各种木马、病毒加花加壳加草的方法，躲过杀软的监控，成功运行后，杀软便成了刀俎鱼肉，第一个被人干掉，不经意间你可能才会发现杀软的图标早就不见了，但是也晚了。那么杀软才被干掉的一瞬间，能不能让它喊一声救命再死呢?让我们好第一时间拯救它!

　　1.脚本文件法：

　　打开记事本，输入下面脚本代码(下面代码以瑞星为例)：

　　strComputer = "."

　　Set objWMIService = GetObject("winmgmts:" _

　　& "!\\" & strComputer & "\root\cimv2")

　　Set colMonitoredProcesses = objWMIService. _

　　ExecNotificationQuery("select * from __instancedeletionevent " _

　　& "within 1 where TargetInstance isa 'Win32_Process'")

　　i = 0

　　Do While i = 0

　　Set objLatestProcess = colMonitoredProcesses.NextEvent

　　If objLatestProcess.TargetInstance.Name = "RavMon.exe" Then

　　Wscript.Echo "注意：瑞星杀毒软件已经被关闭!!! 进程名：" & objLatestProcess.TargetInstance.name

　　end if

　　Loop

　　将第十行中的RavMon.exe替换成自己所使用的杀毒软件进程名，一定要注意大小写，第十一行中的中文字也可以自己写。然后依次单击“文件”→“另存为”，将其保存为*.vbs文件，双击运行即可开始对杀毒软件的监视，最好放到Windows启动文件夹中(C:\Documents and Settings\All Users\「开始」菜单\程序\启动)，这样每次开机都会自动对杀毒软件进行监视，如果想要停止监控只要结束wscript.exe进程即可。

　　另外，大多数杀毒软件有多个进程，如果觉得只监视一个不够，可以将第十行改为：

　　If objLatestProcess.TargetInstance.Name = "进程名1" or bjLatestProcess.TargetInstance.Name = "进程名2" or objLatestProcess.TargetInstance.Name = "进程名3" (......)Then。

　　在虚拟机上测试成功!(图6)

图6

　　2.第三方工具法：

　　软件名称：任务管理器增强工具

　　下载地址：http://gzcnc.onlinedown.net:82/down/mtmsetup.exe

　　操作步骤：(以瑞星为例)

　　第一步：打开并运行“任务管理器增强工具”，在“监视进程”选项卡下，勾选“监视下列进程，当进程死亡后立即启动”，然后通过“浏览”、“添加”按钮添加需要监视的进程。

　　第二步：添加三个瑞星关键进程文件RavMon.exe、RavMonD.exe、CCenter.exe，并点击“保存”按钮。

　　第三步：随便运行一个程序，并在任务管理中结束它，提示“无法结束!”。

　　提示：其他杀毒软件的进程保护类似，就是把该杀毒软件的进程文件添加进去就可以了。

　　这样，有了它的监视，在杀软不幸后可以告诉我们一声。(图7)

图7

最新相关文章

• ·防止病从口入 打造聪明型卡巴斯基
• ·新版ESET NOD32杀毒套装体验
• ·暴破HTTP验证检测页面口令强度
• ·网管秘籍：选择安全漏洞扫描工具
• ·一站式解决方案：360顽固木马专杀大全
• ·08十大上网必备软件 保你一年高枕无忧
• ·你的密码是否强大 让微软帮你测试便知
• ·暴强！教你1分钟激活卡巴斯基（视频）
• ·在线杀毒保护你 六大在线杀毒网站评测
• ·高手支招 如何发现和防止Sniffer嗅探器
• ·瑞星卡卡:流氓软件已死 我还能杀谁
• ·dummycom木马专杀工具
• ·防盗：用360为游戏帐号保驾护航
• ·“机器狗/AV终结者/8749” 木马专杀工具
• ·捍卫你的系统 防杀机器狗病毒工具导用
• ·PC Tools杀毒软件 大家电脑的安全保护神